En menos de cinco meses, al menos seis fiscalías estatales de México han sido blanco de ciberataques (Michoacán, Querétaro, Nuevo León, Chihuahua, Oaxaca y Ciudad de México), que derivaron en filtraciones masivas de información o en la vulneración total de sus sistemas Web.
Aunque los ataques han sido ejecutados por distintos grupos, las consecuencias han sido similares: exposición de datos sensibles, defacements (alteración de sitios Web oficiales) y cuestionamientos sobre la ciberseguridad institucional.
Tan sólo el pasado fin de semana, dos nuevos casos se sumaron a la lista: las fiscalías de Michoacán y Querétaro fueron atacadas con horas de diferencia. En el caso de Michoacán, el atacante conocido como Drakonov defaceó al menos 13 subdominios pertenecientes al dominio fiscaliamichoacan.gob.mx. Entre los sistemas afectados se encuentran sitios estratégicos como los de adquisiciones, inteligencia, comunicación institucional, asuntos internos, biblioteca digital, identificación y más.
El ataque fue reportado por el portal Zone-H el 30 de marzo de 2025, y confirmado posteriormente en un análisis de la firma TPX Security. Todos los sitios comprometidos funcionaban bajo Windows Server 2016 e IIS 10.0, lo que apunta a una configuración homogénea vulnerable. Las páginas fueron alteradas con el mensaje “Hacked by Drako” y una firma del atacante.
En el caso de Querétaro, la filtración consistió en la exposición de más de 40 documentos confidenciales atribuidos a la Fiscalía General del Estado. Estos archivos incluyen Informes Policiales Homologados (IPH), tarjetas informativas, fichas de personas detenidas, órdenes de aprehensión, formatos de cateo, listados de detenidos y bases en Excel con datos de funcionarios. Aunque los documentos parecen corresponder a investigaciones de administraciones anteriores, contienen información sensible como nombres, domicilios, delitos, teléfonos y datos personales de víctimas, policías, peritos y fiscales.
Esta filtración fue atribuida al grupo hacktivista Ciberguerrilla Nahual, quienes han estado activos desde febrero de 2025 y buscan llamar la atención del gobierno de Oaxaca a través de filtraciones de alto impacto.
El caso Nuevo León: una doble vulneración
La Fiscalía de Nuevo León ha sido víctima de dos ataques graves en menos de cinco meses.
El primero ocurrió en diciembre de 2024, cuando el hacker conocido como Scorpion filtró más de 10 mil carpetas de investigación, posteriormente vendió el contenido actualizado hasta 2024.
La segunda vulneración se registró el 25 de marzo de 2025 y fue aún más preocupante: el grupo Ciberguerrilla Nahual filtró documentos generados el mismo día del ataque, lo que indica que tenían acceso en tiempo real al sistema ministerial.
Entre los archivos comprometidos hay actas de denuncia, dictámenes psicológicos, datos de víctimas y agresores, direcciones, CURP, teléfonos, correos y hasta RFC.
Chihuahua: contratos forenses y credencial del fiscal
El 19 de febrero de 2025, Ciberguerrilla Nahual también atacó a la Fiscalía de Chihuahua.
En esa ocasión se filtraron documentos relacionados con la modernización de los laboratorios forenses del estado. Entre los archivos había convenios, cotizaciones, contratos, credenciales de funcionarios y documentos sin testar, incluyendo la credencial de elector del fiscal estatal, César Jáuregui Moreno.
El especialista en ciberseguridad Víctor Ruiz, fundador de SILIKN, analizó los documentos y advirtió: “La información es oro molido en manos del crimen organizado, porque menciona la estructura de un laboratorio forense, su equipamiento, sus sistemas, el hardware y software que se utilizará. Esto es grave, porque basta con revisar las vulnerabilidades que puedan tener para tomar control de estos sistemas, bloquearlos, modificar la evidencia o insertar pruebas falsas”.
Oaxaca: vínculos entre crimen y política
El 6 de marzo de 2025, también Ciberguerrilla Nahual filtró bases de datos de la Fiscalía de Oaxaca. La información expuesta es sumamente delicada: historiales policiales, nombres de personas investigadas por narcotráfico y desaparición, así como posibles vínculos con políticos.
Entre los datos se encontraban perfiles de redes sociales, números de WhatsApp, direcciones de familiares y documentos de agentes de seguridad con información operativa, rutinas, estados de fatiga y cambios de adscripción. En total, más de 5,000 personas fueron afectadas, incluyendo testigos, víctimas, policías e incluso menores de edad.
Ciudad de México: acceso real a una cuenta institucional
El 21 de enero de 2025 se reportó una filtración atribuida al atacante Sh1r0, quien expuso una lista de contraseñas. Entre ellas, se encontraba la de una cuenta institucional perteneciente a un funcionario de la Fiscalía de la Ciudad de México.
La autenticidad de la credencial fue verificada al ingresar a la cuenta y confirmar que contenía comunicaciones internas y documentos oficiales, lo que representa un grave riesgo para las investigaciones en curso.
